So konfigurieren Sie die Netzwerksicherheitsprüfung unter Linux
Die Netzwerksicherheitsprüfung ist ein wichtiger Prozess, um die Sicherheit und Stabilität des Netzwerksystems zu gewährleisten. Die Netzwerksicherheitsprüfung auf Linux-Systemen kann Administratoren dabei helfen, Netzwerkaktivitäten zu überwachen, potenzielle Sicherheitsprobleme zu erkennen und rechtzeitig Maßnahmen zu ergreifen. In diesem Artikel wird die Konfiguration der Netzwerksicherheitsüberwachung unter Linux vorgestellt und Codebeispiele bereitgestellt, um den Lesern ein besseres Verständnis zu erleichtern.
1. Installieren Sie Auditd
Auditd ist das Standard-Sicherheitsaudit-Framework für Linux-Systeme. Zuerst müssen wir Auditd installieren.
Auf einem Ubuntu-System können Sie es mit dem folgenden Befehl installieren:
sudo apt-get install auditd
Auf einem CentOS-System können Sie es mit dem folgenden Befehl installieren:
sudo yum install audit
2. Konfigurieren Sie Auditd
Nachdem die Installation abgeschlossen ist, müssen wir sie ausführen einige grundlegende Vorgänge zur Auditd-Konfiguration. Die Hauptkonfigurationsdatei ist/etc/audit/auditd.conf
. Durch Bearbeiten dieser Datei können Sie einige Konfigurationsoptionen anpassen./etc/audit/auditd.conf
。编辑该文件,可以调整一些配置选项。
以下是一个示例配置文件的内容:
# /etc/auditd.conf # 注意这里的路径可能因不同系统而有所不同 # 本地日志文件存储的路径 log_file = /var/log/audit/audit.log # 最大日志文件大小 max_log_file = 50 # 最大日志存储时间 max_log_file_action = keep_logs # 日志保留的天数 num_days = 30 # 空闲时间(秒) idletime = 600 # 发现故障后自动停止 space_left_action = email # 发现故障后实时通知的邮箱地址 admin_space_left_action = root@localhost # 设定审计系统时额外添加的项目 # 以下是一个示例配置,根据需要可自行调整 # -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at,openat2 -F exit=-EACCES -F auid>=1000 -F auid!=-1 -k access
注意,你需要根据系统和需求自行调整配置。在完成配置后,保存文件并重新启动 auditd 服务。
sudo systemctl restart auditd
三、常用Auditd命令
配置完成后,我们可以使用一些常用的 Auditd 命令来监控网络活动和审计日志。
audispd-plugins
是一个 Auditd 的插件,可以将 Auditd 日志转发到其他工具,如 Syslog 或 Elasticsearch 等。
在Ubuntu系统上,可通过以下命令进行安装:
sudo apt-get install audispd-plugins
在CentOS系统上,可通过以下命令进行安装:
sudo yum install audispd-plugins
在配置文件/etc/audisp/plugins.d/syslog.conf
中,你可以指定日志转发的目标。在以下示例中,我们将日志转发到 Syslog:
active = yes direction = out path = /sbin/audispd-in_syslog type = builtin args = LOG_INFO format = string
ausearch
是一个 Auditd 的命令行工具,可以查询 Audit 日志。以下是几个常用的命令示例:
# 查询所有事件 sudo ausearch -m all # 查询指定时间段的日志 sudo ausearch --start "10 minutes ago" --end "now" # 根据用户查询日志 sudo ausearch -ua username # 根据文件路径查询日志 sudo ausearch -f /path/to/file # 根据系统调用查询日志 sudo ausearch -sc open
aureport
# 生成所有的事件报告 sudo aureport # 生成文件相关的事件报告 sudo aureport -f # 生成用户相关的事件报告 sudo aureport -i # 生成系统调用的事件报告 sudo aureport -c
sudo auditctl -a always,exit -F arch=b64 -S execve -k command sudo auditctl -a always,exit -F arch=b64 -S execveat -k command sudo auditctl -a always,exit -F arch=b32 -S execve -k command sudo auditctl -a always,exit -F arch=b32 -S execveat -k command sudo auditctl -a always,exit -F arch=b64 -S sendto -F auid>=500 -F auid!=4294967295 -k connect
audispd-plugins
ist ein Auditd-Plug-in, das Auditd-Protokolle an andere Tools wie Syslog weiterleiten kann oder Elasticsearch usw. .
Auf Ubuntu-Systemen können Sie es mit dem folgenden Befehl installieren:
rrreee
Auf CentOS-Systemen können Sie es mit dem folgenden Befehl installieren: rrreeeIn der Konfigurationsdatei/etc/audisp/plugins.d/ syslog.conf
können Sie das Ziel der Protokollweiterleitung angeben. Im folgenden Beispiel leiten wir die Protokolle an Syslog weiter: rrreee
aussearch
ist ein Befehlszeilentool für Auditd können Sie das Audit-Protokoll abfragen. Im Folgenden sind einige häufig verwendete Befehlsbeispiele aufgeführt: rrreee
aureport
ist ein Auditd-Berichtstool, das verschiedene Arten generieren kann des Berichts. Im Folgenden finden Sie einige häufig verwendete Befehlsbeispiele: rrreee IV. Beispiele für die Schlüsselkonfiguration Das Folgende ist eine Beispielkonfiguration für die Überwachung der Benutzeranmeldung und der Befehlsausführung: rrreeeDie obige Konfiguration zeichnet die von allen Benutzern ausgeführten Befehle auf gesendeter Netzwerkverkehr. 5. ZusammenfassungDie Konfiguration der Netzwerksicherheitsüberwachung auf einem Linux-System ist ein wichtiger Teil der Gewährleistung der Systemsicherheit. Durch die Installation und Konfiguration von Auditd können Sie Netzwerkaktivitäten überwachen und potenzielle Sicherheitsprobleme entdecken. In diesem Artikel werden die Installation von Auditd, die Grundkonfiguration, allgemeine Befehle und wichtige Konfigurationsbeispiele vorgestellt und Beispielcode bereitgestellt, um den Lesern ein besseres Verständnis zu erleichtern. Ich hoffe, dieser Artikel kann Ihnen bei der Durchführung einer Netzwerksicherheitsüberprüfung auf einem Linux-System helfen. Wenn Sie weitere Fragen haben, können Sie uns gerne kontaktieren.
Das obige ist der detaillierte Inhalt vonSo konfigurieren Sie die Netzwerksicherheitsüberwachung unter Linux. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!